30.09.2016 - 22:00
Cada cert temps, als mitjans de comunicació publiquen notícies que parlen de la gran quantitat, normalment milions, de contrasenyes robades. Recentment s’ha sapigut que un hacker rus n’ha aconseguit més de 272 milions -notícia a Computerwolrd– i que les venia per 1 $. Doncs bé, aquesta setmana també s’ha sapigut que els de Yahoo van patir una infiltració fa dos anys en la qual els hi van robar més de 500 milions de comptes d’usuari i contrasenyes.
Si hem de fer cas que els de Yahoo ens ho diuen tot, els hi han robat noms, adreces de correu, números de telèfon, dates de naixement, contrasenyes encriptades i, en alguns casos, preguntes de seguretat.
Avui intentarem parlar de com gestionar les nostres contrasenyes i intentarem que no s’us oblidin i que si us les prenen, minimitzeu els danys. Abans parlaré de com fer servir els serveis de ‘verificació en 2 passos’ que ens protegeix quan algú sap la nostra contrasenya
Per una altra banda, intentarem fer bondat i tenir unes contrasenyes que compleixin totes els requeriments que alguns llocs posen, encara que, si fem cas als tècnics de seguretat, i de vegades val la pena fer-los cas, el millor seria tenir una contrasenya diferent per cada lloc a on ens volem connectar. Però això seria demanar massa. I, finalment, encara que sembli contradictori, us explicaré com compartir la vostra contrasenya.
Verificació en 2 passos
La millor protecció de les nostres contrasenyes és la ‘verificació en 2 passos’, una mica empipadora i un extra de treball, però que lliga la identificació a un lloc web amb algun dispositiu personal que portem a sobre, normalment el telèfon.
Per explicar com funciona la verificació en 2 passos faré servir Gmail, un dels serveis amb més opcions per la segona opció.
Per activar-la, aneu a la configuració del vostre compte quan esteu connectats a gmail.com, feu clic a la vostra icona, i veureu un gran botó blau que diu ‘El meu compte’, i, sota la configuració del vostre compte trobareu ‘Inici de sessió i seguretat’:
Ací trobareu, a banda de l’opció de ‘Verificació en 2 passos’, una opció de ‘Comprovació de seguretat’ que us farà una repassada general de les vostres opcions de seguretat i que us recomano que utilitzeu.
Us podeu trobar que està desactivada:
o bé activada:
si decidiu activar-la, bé, això és el que voleu fer, oi? Doncs us trobareu aquesta pantalla:
El primer que haureu d’introduir és el vostre número de telèfon per rebre un SMS o bé una trucada, com a segon pas de verificació de la vostra identitat. Això vol dir que quan us identifiqueu amb el vostre codi d’usuari i contrasenya, us demanarà en codi que rebreu per SMS.
Si en aquell moment no teniu el telèfon a mà, podeu configurar mètodes alternatius, que podeu decidir de fer servir en el moment que us demana l’entrada del codi del segon pas, com per exemple:
- Codi de seguretat: unes contrasenyes d’un sol ús que podeu portar i que només us serviran una sola vegada.
- Authenticator, una app de Google que, per cada aplicació que tingui registrada, us dóna un codi que dura 30 segons. El codi va lligat a l’aplicació registrada i és diferent per a cada app. Aquesta app funciona amb el que es coneix Time-based One-time Passwor Algorithm (TOTP), un algoritme que calcula una contrasenya d’un sol ús a partir de l’hora i una clau secreta per a cada aplicació registrada.
Com podeu veure amb aquests sistemes, el que estem fent és enfortir el nostre sistema de seguretat, però li afegim una mica més de complexitat. Recordeu que ser més segur gairebé sempre significa una mica més de feina, per això a can Google podeu especificar quins dispositius són de confiança, dispositius que sempre podeu revocar.
Reviseu les configuracions de les aplicacions que feu servir normalment per activar la ‘verificació en 2 passos’ i, sempre que es pugui, activeu-la. En alguns programes costa de trobar, però us aconsello que busqueu.
Els d’Apple, també li diuen ‘verificació en 2 passos’ i afirmen que és diferent de l’autenticació en 2 passos, i per activar-ho a iCloud, he d’anar a ‘Configuració’, i ‘Gestionar’ sota ID d’Apple
Abans de continuar us explica com funciona i perquè l’heu de fer servir. Per exemple, que us facin servir el compte per fer compres a l’iTunes o l’App Store.
I també us faciliten una clau de recuperació per si de cas perdeu el telèfon:
I us recomanen, evidentment, que, sobretot, no la guardeu en el vostre ordinador. El millor és que feu una impressió i guardeu la còpia impresa lluny de l’ordinador.
A aquesta web de twofactorauth.org trobareu una llarga llista de serveix i us informa de qui fa servir i qui no el sistema de dos pasos, i us dóna l’opció d’enviar-los un tweet per demanar que ho facin servir, per exemple, a Whatsapp:
Com compartir una contrasenya
No, encara que ho sembli, no és una contrdicció amb el que estava dient. Poden haver-hi casos en els quals necessiteu compartir una contrasenya amb algú. Per exemple, qui us està ajudant a mantenir el web, a accedir al vostre compte de facebook o twitter, o aquells que creen comptes per a empreses i han d’enviar el codi d’usuari i la contrasenya als clients. Fer-ho en un mateix mail no és recomanable perquè pot ser interceptat mentre viatja pels routers.
El millor que es pot fer és enviar el codi d’usuari per correu i fer servir un servei per amagar la contrasenya d’un sol ús com ho permet fer onetimesecret.com. En aquest web entreu la contrasenya i us dóna un link que dura set dies, com aquest:
El receptor pot llegir la contrasenya, però només una sola vegada, així que si el receptor veu un missatge que li diu que el link no existeix, sabrà immediatament que algú el té i que s’ha de canviar immediatament:
Estratègia per a les contrasenyes
Això que ve a continuació és un resum de l’article complet del 13 de maig del 2016, Com gestionar les contrasenyes. Perquè encara que les tingueu protegides amb doble verificació, si li prenen a algun proveïdor les poden fer servir a llocs no protegits amb el sistema de doble pas. I és per això que és molt important que no feu servir la mateixa contrasenya en dos llocs.
Jo he fet quatre categories de contrasenyes. Segons les vostres necessitats podeu reduir-les a tres, però aixòés molt personalitzable. Preneu aquesta estratègia com a una idea:
Contrasenyes d’estar per casa
Són les que posem a llocs que no poden fer-nos malbé ni la nostra reputació ni ens poden deixar sense diners. Per exemple, el codi d’usuari de la subscripció a Vilaweb, el de Netflix, el de la companyia de telefonia, d’aigua o de gas o electricitat… Vaja, tots aquests llocs que us demanen un codi d’usuari i una contrasenya però que si us la prenen no passarà res greu.
Per aquest tipus de contrasenya penseu que n’heu d’inventar una de vuit caràcters com a mínim, perquè a molts llocs ja us demanen això com a mínim. I que tingui una lletra majúscula i 4 o 6 dígits numèrics, com per exemple el número del carrer on vau viure de solters repetit per arribar als sis dígits. I no, no poseu el pin de la target!, hem dit que era una contrasenya que si us la prenen, no us han de fer cap mal.
Contrasenyes serioses
Si seguiu la sistemàtica anterior, només haureu d’ampliar el nombre de dígits. Penseu en alguna paraula i desendreceu-la, i busqueu algun número que us recordi alguna cosa. No, no valen els vuit dígits de la vostra data de naixement.
Llocs com Twitter, Facebook. Són contrasenyes serioses però no crítiques, perquè suposo que vosaltres no sou polítics i ningú voldrà posar res al twitter en nom vostre per deixar-vos malament. Isi sou polítics, teniu l’excusa perfecta.
Contrasenyes molt importants
Cadascú ha de posar en aquesta categoria el que més li importi, però com a exemple, jo posaria la contrasenya del Dropbox, a on teniu còpies dels vostres arxius, el compte de Gmail o iCloud, llocs a on compreu coses com Amazon, eBay, o similars. I que si us la prenen, poden fer compres i rebre-les a una adreça que no sigui la vostra. Penseu en una frase a on podeu intercalar números i signes, i penseu com afegir majúscules.
Contrasenyes de diners
Bé, ja sabeu què vol dir això, les contrasenyes dels vostres comptes als bancs i aquí, jo no me la jugaria. Li deixaria a un programa de gestió de contrasenyes que se les inventi i, sobretot, que les recordi. Una contrasenya que no tingui cap sentit ni que, fàcilment, un programa pugui endevinar-la, per exemple, GfhuhEP8[+j9Wiq8, que l’ha creat automàticament un programa seguint la norma de 16 caràcters amb 3 números i 2 símbols que li he donat jo.
Programes
I ara, com gestionem totes aquestes contrasenyes? No, no és un bon sistema enviar el pin de la teva targeta bancària per SMS per així tenir-la sempre a mà. El millor és fer servir un programa de gestió de contrasenyes que tindrà una nova contrasenya que haureu de pensar i recordar.
- 1Password – És una aplicació que us heu de descarregar al vostre ordinador, tauleta o telèfon. En el vostre ordinador instal·la una extensió al navegador que intercepta quan vosaltres entreu un codi d’usuari i contrasenya, i mira la vostra base de dades per veure si l’ha d’afegir. O bé, si li demaneu, fa servir les dades que té per omplir el formulari d’identificació. Es sincronitza via Dropbox, iCloud, una carpeta en xarxa o via iTunes. Tenen la versió gratuïta, la versió de subscripció ( 5$ al mes per família ) o la versió de compra d’una sola vegada (64,99$, però trobareu moltes ofertes per 20-30$).
- LastPass – És molt similar a 1Password, però no existeix una aplicació d’escriptori. Són extensions pel vostre navegador en el cas dels pc o mac, i apps per a dispositius mòbils.
- KeePass – No puc deixar de parlar dels programes de software lliure, i el més conegut és KeePass per a windows, amb ports per altres plataformes.
Us encoratjo a què proveu una de les opcions, en tot cas, és molt més segur que apuntar contrasenyes a una llibreteta.